PCI DSS 質問 必要なテスト
回答
(各質問に対して1つ回答を選んでください) はい
はい、
CCW 付 いいえ N/A 未テスト
6.1 セキュリティの脆弱性を識別するための以下を含むプロセ スが導入されていますか?
▪ 信頼できる外部情報源を使用したセキュリティ脆弱性 情報の収集
▪ すべての「高リスク」と「重大」な脆弱性の識別を含 む脆弱性のランク分けの割り当て。
注: リスクのランク分けは、業界のベストプラクティスと 考えられる影響の程度に基づいている必要があります。た とえば、脆弱性をランク分けする基準は、CVSS ベースス コア、ベンダによる分類、影響を受けるシステムの種類な どを含む場合があります。
脆弱性を評価し、リスクのランクを割り当てる方法は、組 織の環境とリスク評価戦略によって異なります。リスク のランクは、最小限、環境に対する「高リスク」とみなさ れるすべての脆弱性を特定するものである必要がありま す。リスクのランク分けに加えて、環境に対する差し迫っ た脅威をもたらす、重要システムに影響を及ぼす、対処し ないと侵害される危険がある場合、脆弱性は「重大」とみ なされます。重要システムの例としては、セキュリティシ ステム、一般公開のデバイスやシステム、データベース、
およびカード会員データを保存、処理、送信するシステム などがあります。
▪ ポリシーおよび手順のレビュー
▪ 担当者のインタビュー
▪ プロセスの観察
6.2 (a) すべてのシステムコンポーネントとソフトウェアに、
ベンダ提供のセキュリティパッチがインストールさ れ、既知の脆弱性から保護されていますか?
▪ ポリシーおよび手順のレビュー
PCI DSS 質問 必要なテスト
回答
(各質問に対して1つ回答を選んでください) はい
はい、
CCW 付 いいえ N/A 未テスト
重要なセキュリティパッチが、リリース後 1 カ月以内 にインストールされていますか?
注: 要件 6.1 で定義されているリスクのランク分けプロセ
スに従って、重要なセキュリティパッチを識別する必要が あります。
▪ ポリシーおよび手順のレビュー
▪ システムコンポーネントの調査
▪ インストール済セキュリティパ ッチの一覧と最近のベンダパッ チの一覧の比較
6.3 (a) ソフトウェア開発プロセスは業界基準やベストプラク ティスに基づいていますか?
▪ ソフトウェア開発プロセスのレ ビュー
▪ プロセスの観察
▪ 担当者のインタビュー ソフトウェア開発ライフサイクル全体に情報セキュリ
ティが組み込まれていますか?
▪ ソフトウェア開発プロセスのレ ビュー
▪ プロセスの観察
▪ 担当者のインタビュー (c) ソフトウェアアプリケーションは PCI DSS(安全な
認証やロギングなど)に従って開発されていますか?
▪ ソフトウェア開発プロセスのレ ビュー
▪ プロセスの観察
▪ 担当者のインタビュー (d) ソフトウェア開発プロセスは次の 6.3.1~6.3.2 を満た
していますか?
6.3.1 アプリケーションがアクティブになる前、または顧客にリ
リースされる前に、開発、テスト/カスタムアプリケーシ ョンアカウント、ユーザーID、パスワードを削除します か?
▪ ソフトウェア開発プロセスのレ ビュー
▪ 担当者のインタビュー
PCI DSS 質問 必要なテスト
回答
(各質問に対して1つ回答を選んでください) はい
はい、
CCW 付 いいえ N/A 未テスト
6.3.2 すべてのカスタムコードが、以下のようにコーディングの
脆弱性がないことを確認するために、本番または顧客のリ リース前にレビューされていますか(手動または自動プロ セスで)?
▪ コード変更は、コード作成者以外の、コードレビュー 手法と安全なコーディング手法の知識のある人がレビ ューしますか?
▪ コードレビューにより、コードが安全なコーディング ガイドラインに従って開発されたことが確認されます か?
▪ リリース前に、適切な修正が実装されていますか?
▪ コードレビュー結果は、リリース前に管理職によって レビューおよび承認されていますか?
注: このコードレビュー要件は、システム開発ライフサイ クルの一環として、すべてのカスタムコード(内部および 公開)に適用されます。コードレビューは、知識を持つ社 内担当者または第三者が実施できます。一般に公開されて
いる Web アプリケーションは、実装後の脅威および脆弱
性に対処するために、PCI DSS 要件 6.6 に定義されている 追加コントロールの対象となります。
▪ ポリシーおよび手順のレビュー
▪ 担当者のインタビュー
▪ 最近の変更および変更記録の調 査
6.4 システムコンポーネントへのすべての変更は、変更管理手 順に従っていますか?
6.4.1 (a) 開発/テスト環境が、本番環境から分離されています
か?
▪ 変更管理プロセスおよび手順の レビュー
▪ ネットワーク文書およびネット ワークデバイス構成の調査 開発/テスト環境を本番環境から分離するためのアク
セス制御が行われていますか?
▪ 変更管理プロセスおよび手順の レビュー
PCI DSS 質問 必要なテスト
回答
(各質問に対して1つ回答を選んでください) はい
はい、
CCW 付 いいえ N/A 未テスト
6.4.2 開発/テスト環境に割り当てられている担当者と本番環境
に割り当てられている担当者との間で責務が分離されてい ますか?
▪ 変更管理プロセスおよび手順の レビュー
▪ プロセスの観察
▪ 担当者のインタビュー
6.4.3 テストまたは開発に本番環境データ(実際の PAN)は使
用されていませんか?
▪ 変更管理プロセスおよび手順の レビュー
▪ プロセスの観察
▪ 担当者のインタビュー
▪ テストデータの調査
6.4.4 システムがアクティブになる/本番稼働の前にテストデー
タとテストアカウントは削除されますか?
▪ 変更管理プロセスおよび手順の レビュー
▪ プロセスの観察
▪ 担当者のインタビュー
▪ 本番システムの調査
6.4.5 (a) セキュリティパッチやソフトウェアの変更の実装に関
連する変更管理手順が文書化されていますか?
• 影響の文書化
• 適切な権限を持つ関係者による文書化された変 更管理の承認
• 変更がシステムのセキュリティに悪影響を与え ていないことを確認するための機能テスト
• 回復手順
▪ 変更管理プロセスおよび手順の レビュー
すべての変更に対して以下が実行されていますか?
6.4.5.1 影響の文書化 ▪ 変更管理文書の変更の追跡
▪ 変更管理文書の調査
PCI DSS 質問 必要なテスト
回答
(各質問に対して1つ回答を選んでください) はい
はい、
CCW 付 いいえ N/A 未テスト
6.4.5.2 適切な権限を持つ関係者による文書化された変更承認。 ▪ 変更管理文書の変更の追跡
▪ 変更管理文書の調査
6.4.5.3 (a) 変更がシステムのセキュリティに悪影響を与えていな
いことを確認するための機能テスト。
▪ 変更管理文書の変更の追跡
▪ 変更管理文書の調査 (b) カスタムコード変更の更新について、本番環境に導入
される前のPCI DSS 要件 6.5 への準拠テスト
▪ 変更管理文書の変更の追跡
▪ 変更管理文書の調査
6.4.5.4 回復手順 ▪ 変更管理文書の変更の追跡
▪ 変更管理文書の調査
6.4.6 大幅な変更の際は、すべての該当する PCI DSS 要件が全
ての新しいまたは変更されたシステムやネットワークに実 装され、必要に応じて文書が更新されていますか?
▪ 変更管理文書の変更の追跡
▪ 変更管理文書の調査
▪ 担当者のインタビュー
▪ 影響のあるシステムまたはネッ トワークの観察
PCI DSS 質問 必要なテスト
回答
(各質問に対して1つ回答を選んでください) はい
はい、
CCW 付 いいえ N/A 未テスト
6.5 (a) ソフトウェア開発プロセスで一般的なコーディングの 脆弱性は対処されていますか?
▪ ソフトウェア開発ポリシーおよ び手順のレビュー
(b) 開発者は、一般的コード化脆弱性を回避する方法を含 めた安全なコーディング技法のトレーニングを受けて おり、メモリ内で機密データを取扱う方法を理解して いますか?
▪ ソフトウェア開発ポリシーおよ び手順の調査
▪ トレーニング記録の調査
(c) アプリケーションは、最小限以下の脆弱性からアプリ ケーションを保護する、安全なコーディングガイドラ インに基づいて開発されていますか?
注: 要件 6.5.1~6.5.10 に挙げられている脆弱性は、この バージョンの PCI DSS が発行された時点の最新の業界ベ ストプラクティスを踏襲しているが、脆弱性管理に関す る業界のベストプラクティス(OWASP Guide、SANS CWE Top 25、CERT Secure Coding など)が更新された 場合は、これらの要件に最新のベストプラクティスを適用 する必要があります。
6.5.1 インジェクションの不具合、特に SQL インジェクション
がコーディング技法によって対処されていますか?
注: OS コマンドインジェクション、LDAP および Xpath
のインジェクションの不具合、その他のインジェクション の不具合も考慮します。
▪ ソフトウェア開発ポリシーおよ び手順の調査
▪ 責任者のインタビュー
6.5.2 バッファオーバーフローの脆弱性がコーディング技法によ
って対処されていますか?
▪ ソフトウェア開発ポリシーおよ び手順の調査
▪ 責任者のインタビュー
6.5.3 安全でない暗号化保存がコーディング技法で対処されてい
ますか?
▪ ソフトウェア開発ポリシーおよ び手順の調査
▪ 責任者のインタビュー